信息安全之社会工程学[1]：攻击手法之信息收集

　　上一个帖子 普及了一些基本概念和常识，接下来就得说点实在的货色：介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤：信息收集 、假冒身份 、施加影响 、实施最终的攻击。由于每个步骤介绍起来都蛮长的，俺今天先来介绍“信息收集”这个步骤。<!-- program-think-->

　　★什么是信息收集？
　　信息收集就是通过各种手段去获取机构、组织、公司（以下统一简称“机构 ”）的一些不敏感 信息。为啥特地强调“不敏感”捏？如果信息不敏感，就不会有特别严格的访问限制，攻击者也就容易得手。而且在获取这种信息的过程中，不易引起别人的注意，降低了攻击者自身的风险。

　　★收集的信息有啥用捏？
　　大部分社会工程攻击者都会从信息收集入手。但信息收集往往不是 攻击者的最终目的，仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后，多半会用来包装自己，以便进行后续的身份假冒。具体如何该包装和冒充，俺会在下一个帖子里介绍。

　　★哪些信息属于不敏感信息？
　　典型的不敏感 信息有如下几种：
　　◇某些关键人物的资料
　　这里“资料 ”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下，此处的关键人物 ，不一定是名气大或位高权重的人，而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。
　　◇机构内部某些操作流程的步骤
　　每个机构内部都有若干操作流程（比如报销流程、审批流程等），这些流程对于攻击者非常有用。一旦摸清了这些流程的细节，攻击者就能知道每一个攻击环节会涉及哪些对象，这些对象分别处于什么部门？担任什么职务？具有什么授权？
　　◇机构内部的组织结构关系
　　机构的组织结构关系包括如下几个方面：各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
　　组织结构图的用处类似于操作流程，俺就不再多啰嗦了。
　　◇机构内部常用的一些术语和行话
　　大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时，如果能熟练地使用各种专用的术语和行话，就可以有效打消其他人的疑虑，并获得信任。

　　上述这些信息似乎蛮普通的，在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用（具体细节，可以看“这里的示例 ”）。

　　★如何收集到不敏感信息？
　　收集这些普通信息的途径大致有如下几种：
　　◇通过网站和搜索引擎
　　比如，很多机构的内部操作流程直接放在官方网站上，可以轻易获取。还有很多不敏感信息，攻击者通过Google就能找到一大把。
　　◇通过离职员工
　　有些时候，某个员工（哪怕是一个很小的角色）跳槽到竞争对手那里，就可以带来很丰富的信息。保本的话，至少能拿到原公司的通讯录；稍好一些的话，还能拿到组织结构图以及更深层次的一些东东。
　　◇通过垃圾分析
　　很多机构对于一些普通的打印材料，直接丢到垃圾桶，不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
　　举一个简单的例子：很多公司每当有新员工入职，人事或者行政人员都会打印一张清单给新员工。清单上面可能 会有如下内容：
　　公司内部常用服务器（比如打印服务器、文件服务器）的IP地址
　　新员工外部邮箱的名称和默认口令
　　公司内部系统（比如ERP系统、MIS系统等）的用户名和默认口令
　　某些内部系统的简单使用说明
　　如果某个新员工没有立即 修改默认口令（有相当比例的新员工不会在入职当天立即修改所有 默认口令），并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说，可就捡了大便宜啦！
　　不过捏，垃圾分析方法属于苦差事。使用此招数，每次都要捏着鼻子，在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。
　　◇通过电话问讯
　　某些攻击者直接打电话给前台或者客户服务部，通过某些技巧（后面的帖子 详述），就能套出很多有价值的信息。
　 　为啥攻击者特别偏爱于前台和客服人员捏？这里面可是大有讲究啊！一般来说，前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成 具有如下特质：不怨其烦、热情好客、乐于助人。所以，这类员工会比较有耐心，也比较能满足攻击者的一些（哪怕是有点无理的）要求。

　　上述就是社会工程学中，信息收集的基本常识。本系列 的下一个帖子，咱们来聊一下“假冒身份 ”的话题。

---

版权声明
本博客所有的原创文章，作者皆保留版权。转载必须包含本声明，保持本文完整，并以超链接形式注明作者编程随想 和本文原始地址：

http://program-think.blogspot.com/2009/05/social-engineering-1-gather-information.html